Seguridad : Dispositivos de seguridad adaptable Cisco ASA de la serie 5500

PIX/ASA 7.x: activación de la comunicación entre interfaces

17 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (24 Octubre 2008) | Comentarios

Contenido

Introducción
Requisitos previos
      Requerimientos
      Componentes utilizados
      Productos relacionados
      Convenciones
Antecedentes
      NAT
      Niveles de seguridad
      ACL
Configuración
      Diagrama de la red
      Configuración inicial
      DMZ hacia dentro
      Internet hacia DMZ
      Interno/DMZ hacia Internet
      Comunicación en el mismo nivel de seguridad
Resolución de problemas
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

Este documento proporciona un ejemplo de configuración para varias formas de comunicación entre interfaces en el dispositivo de seguridad ASA/PIX.

Requisitos previos

Requerimientos

Asegúrese de que cumple estos requerimientos antes de intentar esta configuración:

  • Asignación de las direcciones IP y la puerta de enlace predeterminada

  • Conectividad física de red entre dispositivos

  • Número de puerto de comunicación identificado para el servicio implementado

Componentes utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware:

  • Dispositivo adaptable de seguridad que ejecute la versión de software 7.x

  • Servidores Windows 2003 Server

  • Estaciones de trabajo Windows XP

La información que contiene este documento se creó a partir de los dispositivos en un entorno de laboratorio específico. Todos los dispositivos que se utilizan en este documento se iniciaron con una configuración sin definir (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos relacionados

Esta configuración también se puede utilizar con las siguientes versiones de hardware y software:

  • Firewalls de la serie PIX 500 que ejecuten 7.x

Convenciones

Consulte Convenciones sobre consejos técnicos de Cisco para obtener más información sobre las convenciones del documento.

Antecedentes

Este documento señala los pasos requeridos para permitir que la comunicación fluya entre diferentes interfaces. Se analizan formas de comunicación como las siguientes:

  1. Comunicación desde hosts ubicados en el exterior que requieren acceso a recursos ubicados en la DMZ

  2. Comunicación desde hosts en la red interna que requieren acceso a recursos ubicados en la DMZ

  3. Comunicación desde hosts en el interior y la red DMZ que requieren acceso a recursos externos

NAT

En el ejemplo, se emplea la traducción de direcciones de red (NAT) y la traducción de direcciones de puerto (PAT) en la configuración. La traducción de direcciones sustituye la dirección real (local) en un paquete con una dirección asignada (global) que es enrutable en la red de destino. NAT consta de dos pasos: el proceso en el que una dirección real se traduce en una dirección asignada y, a continuación, el proceso en el que se deshace la traducción para el tráfico de retorno. En esta guía de configuración se utilizan dos formas de traducción de direcciones: estática y dinámica.

Las traducciones dinámicas permiten que cada host utilice una dirección o puerto diferentes para cada traducción posterior. Las traducciones dinámicas se pueden utilizar cuando los hosts locales comparten una o más direcciones globales comunes, o bien se "ocultan" detrás de ellas. En este modo, una dirección local no puede reservar de manera permanente una dirección global para la traducción. En su lugar, la traducción de direcciones se produce de muchos a uno o de muchos a muchos, y las entradas de traducción sólo se crean a media que se necesitan. En cuanto una entrada de traducción deja de utilizarse, se elimina y pasa a estar disponible para otros hosts locales. Este tipo de traducción es más útil para las conexiones salientes, en las que los host internos sólo se asignan a una dirección dinámica o un número de puerto cuando se realizan las conexiones. Existen dos formas de traducción de direcciones dinámica:

  • NAT dinámica: las direcciones locales se traducen a una dirección global disponible en una agrupación. Se proporciona una traducción una a una, por lo que es posible agotar el agrupamiento de direcciones globales en caso de que un gran número de hosts locales requieran una traducción en un momento dado.

  • Sobrecarga de NAT (PAT): las direcciones locales se traducen a una sola dirección global; cada conexión se realiza de forma exclusiva cuando el siguiente número de puerto de orden superior disponible de la dirección global se asigna como origen de la conexión. La traducción se produce de muchos a uno, puesto que muchos hosts locales comparten una dirección global común.

La traducción estática crea una traducción fija de las direcciones reales a las direcciones asignadas. La configuración de NAT estática asigna la misma dirección a cada conexión mediante un hosts y se trata de una regla de traducción persistente. Las traducciones de direcciones estáticas se utilizan cuando un host interno o local necesita obtener la misma dirección global para cada conexión. La traducción de direcciones se produce de una a una. Las traducciones estáticas se pueden definir para un único host o para todas las direcciones que una subred IP contenga.

La principal diferencia entre el NAT dinámico y un rango de direcciones para NAT estática es que la NAT estática permite a un host remoto iniciar una conexión con un host traducido (siempre que exista una lista de acceso que lo permita), mientras que el NAT dinámico no lo permite. También necesita un número equivalente de direcciones asignadas con NAT estática.

El dispositivo de seguridad traduce una dirección cuando se establece una coincidencia entre una regla NAT y el tráfico. Si no hay ninguna regla NAT que coincida, el procesamiento para el paquete continúa. La excepción se da al activar el control NAT. El control NAT requiere que los paquetes que pasan de una interfaz de más seguridad (interna) a un nivel de seguridad inferior (externo) coincidan con una regla NAT o proceso similar para que el paquete se detenga. Para ver la información de configuración común, consulte el documento NAT y PAT de PIX/ASA 7.x (en inglés). Para una mayor comprensión del funcionamiento de la NAT, consulte How NAT works Guide (Guía sobre el funcionamiento de NAT)

Consejo: Siempre que cambie la configuración de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de traducciones con el comando clear xlate. Sin embargo, tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas conexiones se crean con reglas nuevas.

Niveles de seguridad

El valor de nivel de seguridad controla cómo interactúan los hosts/dispositivos de las diferentes interfaces. De manera predeterminada, los hosts/dispositivos conectados a interfaces con niveles de seguridad superiores pueden acceder a los hosts/dispositivos conectados a interfaces con niveles de seguridad inferiores. Por el contrario, los hosts/dispositivos conectados a interfaces con niveles de seguridad inferiores no pueden acceder a los hosts/dispositivos conectados a interfaces con niveles de seguridad superiores sin el permiso de las listas de acceso.

El comando security-level es nuevo en la versión 7.0 y reemplaza la parte del comando nameif que asignaba el nivel de seguridad de la interfaz. Las dos interfaces, la "interna" y la "externa", tienen niveles de seguridad predeterminados, pero que se pueden anular mediante el comando security-level. Si denomina una interfaz como "interna", se le asigna un nivel de seguridad predeterminado de 100, mientras que una interfaz indicada como "externa" tiene asignado un nivel de seguridad de 0. Todas las demás interfaces que se acaban de agregar reciben un nivel de seguridad predeterminado de 0. Para asignar un nuevo nivel de seguridad a una interfaz, utilice el comando security-level en el modo de comando de la interfaz. Los niveles de seguridad varían entre 1 y 100.

Nota: Los niveles de seguridad sólo se utilizan para determinar cómo el firewall inspecciona y administra el tráfico. Por ejemplo, el tráfico que pasa desde una interfaz de más seguridad a otra de menos se reenvía con políticas predeterminadas menos rigurosas que el que se dirige de una interfaz de menos seguridad a otra de más. Para obtener más información acerca de los niveles de seguridad, consulte ASA/PIX 7.x command reference guide (Guía de referencia de comandos de ASA/PIX 7.x).

ASA/PIX 7.x también ofrece la posibilidad de configurar varias interfaces con el mismo nivel de seguridad. Por ejemplo, se puede asignar un nivel de seguridad de 50 a varias interfaces conectadas a socios u otras DMZ. De manera predeterminada, estás interfaces con una misma seguridad no se pueden comunicar entre sí. Para trabajar en este sentido se introdujo el comando same-security-traffic permit inter-interface. Este comando permite la comunicación entre interfaces del mismo nivel de seguridad. Para obtener más información sobre una misma seguridad entre interfaces, consulte Configuring Interface Parameters (Configuración de parámetros de interfaz) en la guía de referencia de comandos y analice este ejemplo.

ACL

Las listas de control de acceso suelen están formadas por varias entradas de control de acceso (ACE) organizadas internamente mediante el dispositivo de seguridad en una lista enlazada. Las ACE describen un conjunto de tráfico, como el procedente de u host o red, e indican una acción que se aplicará a dicho tráfico, por lo general permitir o denegar. Cuando un paquete se somete a un control de lista de acceso, el dispositivo de seguridad de Cisco busca esta lista de ACE enlazada para encontrar una que coincida con el paquete. La primera ACE que coincide con el dispositivo de seguridad es la que se aplica al paquete. Una vez que se ha encontrado la coincidencia, se aplica al paquete la acción de dicha ACE (permitir o denegar).

Sólo se permite una lista de acceso por interfaz y dirección. Esto significa que sólo se puede tener una lista de acceso que se aplique al tráfico entrante de una interfaz y otra que se aplique al tráfico saliente de una interfaz. Las listas de acceso que no se aplican a interfaces, por ejemplo las ACL de NAT, son ilimitadas.

Nota: De forma predeterminada, todas las listas de acceso tienen una ACE implícita al final que deniega todo el tráfico, de manera que todo el tráfico que no coincide con ninguna ACE introducida por el usuario en la lista de acceso, sí coincide con la denegación implícita final y se interrumpe. Para que el tráfico fluya, debe tener al menos una declaración de permiso en una lista de acceso de la interfaz. Sin una declaración de permiso, se deniega todo el tráfico.

Nota: Las listas de acceso se implementan con los comandos access-list y access-group. Estos comandos sustituyen a los comandos conduit y outbound, que se utilizaban en versiones anteriores del software PIX firewall. Para obtener más información acerca de las ACL, consulte Configuración de listas de acceso IP.

Configuración

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (sólo para clientes registrados) para obtener más información acerca de los comandos utilizados en esta sección.

Diagrama de la red

Este documento utiliza esta configuración de red:

generic_ports1.gif

Configuración inicial

En este documento se utilizan las configuraciones siguientes:

  • Con esta configuración de firewall básica, actualmente no existen declaraciones NAT/STATIC.

  • No existen ACL aplicadas, por lo que la ACE implícita deny any any está actualmente en uso.

Nombre del dispositivo 1

ASA-AIP-CLI(config)#show running-config

 ASA Version 7.2(2)
!
hostname ASA-AIP-CLI
domain-name corp.com
enable password WwXYvtKrnjXqGbu1 encrypted
names
!
interface Ethernet0/0
 nameif Outside
 security-level 0
 ip address 172.22.1.163 255.255.255.0
!
interface Ethernet0/1
 nameif inside
 security-level 100
 ip address 172.20.1.1 255.255.255.0
!
interface Ethernet0/2
 nameif DMZ
 security-level 50
 ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/3
 nameif DMZ-2-testing
 security-level 50
 ip address 192.168.10.1 255.255.255.0
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name corp.com
pager lines 24
mtu inside 1500
mtu Outside 1500
mtu DMZ 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat-control
route Outside 0.0.0.0 0.0.0.0 172.22.1.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:4b2f54134e685d11b274ee159e5ed009
: end
ASA-AIP-CLI(config)#  

DMZ hacia dentro

Para permitir la comunicación desde la DMZ hacia los hosts de red interna, utilice estos comandos. En este ejemplo, un servidor Web en la DMZ necesita acceder a un servidor AD y DNS interno.

generic_ports2.gif

  1. Cree una entrada de NAT estática para el servidor AD/DNS en la DMZ. La NAT estática crea una traducción fija de una dirección real a una dirección asignada. Dicha dirección asignada es una dirección que los hosts de DMZ pueden utilizar para acceder al servidor interno sin necesidad de conocer la dirección real del servidor. Este comando asigna la dirección de DMZ 192.168.2.20 a la dirección real interna 172.20.1.5.

    ASA-AIP-CLI(config)# static (inside,DMZ) 192.168.2.20 172.20.1.5 netmask 255.255.255.255

  2. Las ACL son necesarias para permitir que una interfaz con un nivel de seguridad inferior tenga acceso a un nivel de seguridad superior. En este ejemplo se permite que el servidor Web ubicado en la DMZ (seguridad 50) tenga acceso al servidor AD/DNS interno (seguridad 100) mediante los siguientes puertos de servicio específicos: DNS, Kerberos y LDAP.

    ASA-AIP-CLI(config)# access-list DMZtoInside extended permit udp host 192.168.1.10 host 192.168.2.20 eq domain

    ASA-AIP-CLI(config)# access-list DMZtoInside extended permit tcp host 192.168.1.10 host 192.168.2.20 eq 88

    ASA-AIP-CLI(config)# access-list DMZtoInside extended permit udp host 192.168.1.10 host 192.168.2.20 eq 389

    Nota: Las ACL permiten tener acceso a la dirección asignada del servidor AD/DNS que se creó en este ejemplo y no a la dirección real interna.

  3. En este paso, se aplica la ACL a la interfaz DMZ en la dirección entrante mediante el siguiente comando:

    ASA-AIP-CLI(config)# access-group DMZtoInside in interface DMZ

    Consejo: Siempre que cambie la configuración de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de traducciones mediante el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas conexiones se crean con reglas nuevas.

    Entre otras configuraciones comunes se incluyen las siguientes:

Internet hacia DMZ

Para permitir la comunicación desde usuarios en Internet o en una interfaz externa (seguridad 0) hasta un servidor Web ubicado en la DMZ (seguridad 50), utilice los siguientes comandos:

generic_ports3.gif

  1. Cree una traducción estática para el servidor Web en la DMZ hacia afuera. La NAT estática crea una traducción fija de una dirección real a una dirección asignada. Dicha dirección asignada es una dirección que los hosts en Internet pueden utilizar para acceder al servidor Web de la DMZ sin necesidad de conocer la dirección real del servidor. Este comando asigna la dirección externa 172.22.1.25 a la dirección DMZ real 192.168.1.10.

    ASA-AIP-CLI(config)# static (DMZ,Outside) 172.22.1.25 192.168.1.10 netmask 255.255.255.255

  2. Cree una ACL que permita a los usuarios externos acceder al servidor Web a través de una dirección asignada. Tenga en cuenta que el servidor Web también aloja el FTP.

    ASA-AIP-CLI(config)# access-list OutsidetoDMZ extended permit tcp any host 172.22.1.25 eq www

    ASA-AIP-CLI(config)# access-list OutsidetoDMZ extended permit tcp any host 172.22.1.25 eq ftp

  3. El último paso de esta configuración consiste en aplicar la ACL a la interfaz externa para el tráfico entrante.

    ASA-AIP-CLI(config)# access-group OutsidetoDMZ in interface Outside

    Nota: Recuerde que sólo puede aplicar una lista de acceso por interfaz y dirección. Si ya ha aplicado una ACL entrante en la interfaz externa, no puede aplicarle este ejemplo de ACL. Como alternativa, agregue las ACE de este ejemplo a la ACL actual que se aplica a la interfaz.

    Consejo: Siempre que cambie la configuración de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de traducciones mediante el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas conexiones se crean con reglas nuevas.

Interno/DMZ hacia Internet

En este escenario, los hosts ubicados en la interfaz interna (seguridad 100) del dispositivo de seguridad tienen acceso a Internet en la interfaz externa (seguridad 0). Esto se consigue gracias al proceso de PAT, o sobrecarga de NAT, una forma de NAT dinámica. A diferencia de los otros escenarios, en este caso no se necesita una ACL, puesto que los hosts de una interfaz de alta seguridad acceden a hosts de una interfaz de baja seguridad.

generic_ports4.gif

  1. Especifique los orígenes del tráfico que se deben traducir. Aquí se define la regla NAT número 1 y se permite todo el tráfico de hosts internos y de DMZ.

    ASA-AIP-CLI(config)# nat (inside) 1 172.20.1.0 255.255.255.0

    ASA-AIP-CLI(config)# nat (inside) 1 192.168.1.0 255.255.255.0

  2. Especifique qué dirección, agrupación de direcciones o interfaz debe utilizar el tráfico de NAT cuando acceda a la interfaz externa. En este caso, la PAT se realiza con la dirección de interfaz externa. Esto es especialmente útil cuando no se conoce de antemano la dirección de interfaz externa, como en una configuración DHCP. Aquí, el comando global se ejecuta con la misma ID de NAT 1, que lo relaciona con las reglas de NAT de la misma ID.

    ASA-AIP-CLI(config)# global (Outside) 1 interface

Consejo: Siempre que cambie la configuración de NAT, se recomienda borrar las traducciones de NAT actuales. Puede borrar la tabla de traducciones con el comando clear xlate. Tenga cuidado al hacerlo, puesto que al borrar la tabla de traducciones se desconectan todas las conexiones actuales que utilizan dichas traducciones. La alternativa al borrado de la tabla de traducciones consiste en esperar a que las traducciones actuales se interrumpan, aunque no es aconsejable, porque puede producirse un comportamiento inesperado puesto que las nuevas conexiones se crean con reglas nuevas.

Comunicación en el mismo nivel de seguridad

La configuración inicial muestra que las interfaces "DMZ" y "DMZ-2-testing" se han configurado con un nivel de seguridad (50); de forma predeterminada, estas dos interfaces no se pueden comunicar. Sin embargo, se puede permitir la comunicación entre estas interfaces con el comando siguiente:

generic_ports5.gif

ASA-AIP-CLI(config)# same-security-traffic permit inter-interface

Resolución de problemas

Esta sección proporciona información que puede utilizar para resolver problemas de configuración.


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 81815